一、安全防御概述
1.1 常见的攻击手段
拒绝服务(DOS): 通过大量访问请求使服务器资源耗尽,无法向正常用户处理请求连接。常见解决 手段使用云服务商的流量清洗功能
口令破解: 常用攻击手法俗称“跑字典”,常用解决方案设置登录错误次数限制
已知漏洞: 通过已知漏洞进行数据获取或提权,常见解决手段定时更新防御性补丁
欺骗权限用户: 又称社会工程学,通过欺骗权限用户得到授权资格的方式
1.2 常见的安全防御设备
基础类防火墙: 主要实现包过滤防火墙
IDS 类防火墙: 入侵检测系统,提供报告和事后监督为主
IPS 类防火墙: 入侵防御系统,分析数据包内容,根据模式匹配去阻断非法访问
主动安全类防火墙: 对特定服务类型进行专项防御,常见设备有 waf、daf
二、基础类防火墙
2.1 何为防火墙?
工作在主机边缘或者网络边缘处对数据报文进行检测,并且能够根据事先定义好的规则,对数据报文 进行相应处理的模块
2.2 防火墙的分类
结构
- 软件:iptables
- 硬件:深信服 、 网御 、 华为
工作机制
- 包过滤防火墙:源地址 目的地址 源端口 目标端口 连接状态
- 应用层防火墙:URL
模块
- 内核态:netfilter
- 用户态:iptables
2.3 iptables 工作结构
众多的路由规则(Rule)和预设的规则(policy)组成了一个功能链(chain),多个链组成一个表,多个表就组成了防火墙iptables。
最常用的就是filter表,nat表。
2.4 iptables 历经的构造变化
2.5 iptables 相关原理
四表五链功能性介绍
iptables是(4张)表的集合:filter、nat、mangle、raw
表是(5条)链的集合:PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
规则链:承载防火墙规则
- 入站:INPUT
- 出站:OUTPUT
- 转发:FORWARD
- 路由前应用规则:修改目标地址 PREROUTING
- 路由后应用规则:修改源地址 POSTROUTING
规则表:承载防火墙链
- raw:状态跟踪
- mangle:标记 TTL
- nat:实现地址转换
- filter:过滤
防火墙链表结构
防火墙相关顺序
规则匹配顺序: 由上至下,匹配即停止
表应用顺序: raw>mangle>nat>filter
链应用顺序
入站:PREROUTING>INPUT
出站:OUTPUT>POSTROUTING
转发:PREROUTING>FORWARD>POSTROUTING
链表匹配顺序示意图
2.6 iptables 语法规则
书写规则
语法构成: iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
几个注意事项
- 不指定表名时,默认指 filter 表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
常见动作类型
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配
SNAT:修改数据包源地址
DNAT:修改数据包目的地址
REDIRECT:重定向
常见选项
参数 | 作用 |
---|---|
-P | 设置默认策略:iptables -P INPUT (DROP |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 |
-d | 匹配目标地址 |
-i | 网卡名称 匹配从这块网卡流入的数据 |
-o | 网卡名称 匹配从这块网卡流出的数据 |
-p | 匹配协议,如tcp,udp,icmp |
–dport num | 匹配目标端口号 |
–sport num | 匹配来源端口号 |
配型类型分类
通用匹配
- 可直接使用,不依赖于其他条件或扩展
- 包括网络协议、IP 地址、网络接口等条件
隐含匹配
- 要求以特定的协议匹配作为前提
- 包括端口、TCP 标记、ICMP 类型等条件
显式匹配
- 要求以“-m 扩展模块”的形式明确指出类型
- 包括多端口、MAC 地址、IP 范围、数据包状态等条件
通用匹配
常见的通用匹配条件
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d 目的地址
- 接口匹配:-i 入站网卡、-o 出站网卡
示例
# iptables -A FORWARD -s 192.168.1.11 -j REJECT
# iptables -I INPUT -s 10.20.30.0/24 -j DROP
# iptables -I INPUT -p icmp -j DROP
# iptables -A FORWARD -p ! icmp -j ACCEPT
# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
隐含匹配
常用的隐含匹配条件
- 端口匹配:–sport 源端口、–dport 目的端口
- ICMP 类型匹配:–icmp-type ICMP 类型
示例
[root@localhost ~]$ iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]$ iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]$ iptables -A INPUT -p icmp --icmp-type 8 -j DROP
[root@localhost ~]$ iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
[root@localhost ~]$ iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
[root@localhost ~]$ iptables -A INPUT -p icmp -j DROP
显式匹配
常用的显式匹配条件
- 多端口匹配
- -m multiport --sport 源端口列表
- -m multiport --dport 目的端口列表
- IP 范围匹配
- -m iprange --src-range IP 范围
- MAC 地址匹配
- -m mac –mac1-source MAC 地址
- 状态匹配
- -m state --state 连接状态
示例
[root@localhost ~]$ iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
[root@localhost ~]$ iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
[root@localhost ~]$ iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP
[root@localhost ~]$ iptables -P INPUT DROP
[root@localhost ~]$ iptables -I INPUT -p tcp -m multiport --dport 80-82,85 -j ACCEPT
[root@localhost ~]$ iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
SNAT 规则
SNAT 策略的典型应用环境: 局域网主机共享单个公网 IP 地址接入 Internet
SNAT 策略的原理
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
SNAT 网络拓扑
启动 SNAT 转换代码记录
前提条件
- 局域网各主机正确设置 IP 地址/子网掩码
- 局域网各主机正确设置默认网关地址
- Linux 网关支持 IP 路由转发
实现方法:编写 SNAT 转换规则
[root@localhost ~]$ iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31
MASQUERADE —— 地址伪装
- 适用于外网 IP 地址 非固定的情况
- 对于 ADSL 拨号连接,接口通常为 ppp0、ppp1
- 将 SNAT 规则改为 MASQUERADE 即可
实现代码
[root@localhost ~]$ iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
DNAT 规则
DNAT 策略的典型应用环境: 在 Internet 中发布位于企业局域网内的服务器
DNAT 策略的原理
- 目标地址转换,Destination Network Address Translation
- 修改数据包的目标地址
启动 DNAT 转换代码记录
前提条件
- 局域网的 Web 服务器能够访问 Internet
- 网关的外网 IP 地址有正确的 DNS 解析记录
- Linux 网关支持 IP 路由转发
实现方法:编写 DNAT 转换规则
[root@localhost ~]$ iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6
常见 Iptables 相关命令(补充)
导出(备份)规则: iptables-save 工具,可结合重定向输出保存到指定文件
导入(还原)规则: iptables-restore 工具,可结合重定向输入指定规则来源
iptables 服务
- 脚本位置:/etc/init.d/iptables
- 规则文件位置:/etc/sysconfig/iptables
防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导,这些规则就会自动被清除并重 设。要保存规则以便今,请使用以下命令:后载入 sbin/service iptables save
保存在 /etc/sysconfig/iptables 文件中的规则会在服务启动或重新启动时(包括机器被重新引导时) 被应用
Centos7 使用 Iptables 为 netfilter 应用层工具
[root@localhost ~]$ rpm -e --nodeps firewalld
[root@localhost ~]$ yum -y install iptables-services
[root@localhost ~]$ systemctl start iptables && systemctl enable iptables
常用 Iptables 配置脚本分享
[root@localhost ~]$ vim 1.iptalbes
#!/bin/bash PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
function support_distro(){
if [ -z "`egrep -i "centos" /etc/issue`" ];then
echo "Sorry,iptables script only support centos system now."
exit 1
fi
}
support_distro
echo "====================iptablesconfigure====================="
# Only support CentOS system
# 获取 SSH 端口
if grep "^Port" /etc/ssh/sshd_config>/dev/null;then
sshdport=`grep "^Port" /etc/ssh/sshd_config | sed "s/Port\s//g" `
else
sshdport=22
fi
# 获取 DNS 服务器 IP
if [ -s /etc/resolv.conf ];then
nameserver1=`cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'`
nameserver2=`cat /etc/resolv.conf |grep nameserver |awk 'NR==2{print $2 }'`
fi
IPT="/sbin/iptables"
# 删除已有规则
$IPT --delete-chain
$IPT --flush
# 禁止进,允许出,允许回环网卡
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连接的通行
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 限制 80 端口单个 IP 的最大连接数为 10
# $IPT -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
# 允许 80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的连接
# 生产环境可以自己定义
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# 允许 SSH 端口的连接,脚本自动侦测目前的 SSH 端口,否则默认为 22 端口
$IPT -A INPUT -p tcp -m tcp --dport $sshdport -j ACCEPT
# 允许 ping
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j
# 允许 DNS
[ ! -z "$nameserver1" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver1 --dport 53 -j ACCEPT
[ ! -z "$nameserver2" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver2
# 保存规则并重启 IPTABLES
service iptables save
service iptables restart
echo "====================iptables configure completed============================"
[root@localhost ~]$ bash 1.iptables
三、SELinux
3.1 SELinux 前世今生
Linux 安全性与 Windows 在不开启防御措施时一致,为 C2 级别
创造者:美国国家安全局(NationalSecurityAgency,简写为 NSA)
Selinux 实现模型
Selinux 在 Linux 中的地位变化
- 2.2 需要手动加载的一个外部模块
- 2.4 直接写到内核的一个模块
- 2.6 成为了一部分 Linux 发行版的内核的一部分
特性: 提高了 Linux 系统内部的安全等级,对于进程和用户只赋予最小权限,并且防止了权限升级, 即使受到攻击,进程或者用户权限被夺去,也不会对整个系统造成重大影响
3.2 安全上下文
安全上下文的定义
所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中, 访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进 程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。常常用 下面的格式指定或显示安全上下文:
用户:角色:类型
相关配置命令
#修改类型
chcon [-R] [-t type] [-u user] [-r role] 文件
-R :连同该目录下的次目录也同时修改;
-t :后面接安全性本文的类型字段!
-u :后面接身份识别,例如 system_u;
-r :后面接角色,例如 system_r;
restorecon 还原成原有的 SELinux type
格式:restorecon [-Rv] 档案或目录
-R :连同次目录一起修改;
-v :将过程显示到屏幕上
3.3 SELinux 布尔值
解释说明
Managing Boole(管理 SElinux 布尔值):
SEliux 布尔值就相当于一个开关,精确控制 SElinux 对某 个服务的某个选项的保护,比如 samba 服务
布尔值配置命令
getsebool -a # 命令列出系统中可用的 SELinux 布尔值。
setsebool # 命令用来改变 SELinux 布尔值
案例
setsebool –p samba_enable_home_dirs=1 # 开启家目录是否能访问的控制